3, Tấn cơng trì hỗn giải phóng địa chỉ IP ngƣợc trở lại tớ
3.1.2.3Các tấn công trên các giao diện mạng
Các giao diện quan trọng của mạng thông tin di động 3G gồm có: - Gi: Giao diện giữa mạng 3G và mạng bên ngoài nhƣ mạng internet. - Gp: Giao diện giữa 2 nhà khai thác mạng di động, chủ yếu cho chuyển vùng. - Ga: Giao diện tới các hệ thống tính cƣớc.
- Gn: Giao diện nội bộ giữa SGSN và GGSN.
Tấn công có thể xẩy ra trên các giao diện này, đặc biệt là trên các giao diện Gp và Gi, nơi mà các nhà khai thác di động kết nối với mạng của nhà khai thác khác.
a, Các tấn công trên giao diện Gp.
Giao diện GP là kết nối logic giữa các mạng di động, đƣợc sử dụng để hỗ trợ ngƣời sử dụng chuyển vùng (roaming). Giao thức đƣờng hầm GPRS (GTP) đƣợc sử dụng để thiết lập một kết nối giữa một SGSN nội hạt và GGSN thƣờng trú của ngƣời sử dụng. Nói chung, lƣu lƣợng phải đƣợc cho phép tới từ một mạng di động trên giao diện Gp là: Cung cấp kết nối logic giữa SGSN và GGSN khi tham gia roaming (GTP); Cung cấp thông tin định tuyến giữa nhà khai thác và GRX và các bên tham gia roaming (BGP); Cung cấp quyết định đối với một thuê bao APN (DNS).
* Tính khả dụng: Kiểu tấn cơng phổ biến nhất vào tính khả dụng là DoS, các dạng tấn công DoS trên Gp gồm:
- Làm bão hòa băng thông của gateway biên (BG), kết quả là từ chối truy nhâp roaming tới hoặc từ mạng.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
- Làm ngập DNS: Các server DNS trên mạng có thể bị làm ngập bởi các yêu cầu DNS chính xác hoặc bất thƣờng hoặc bởi lƣu lƣợng khác do đó, từ chối các thuê bao về khả năng định vị GGSN chính xác để sử dụng nhƣ là một gateway bên ngoài.
- Làm ngập GTP: Các SGSN và GGSN có thể bị làm ngập bởi lƣu lƣợng GTP bất hợp pháp, làm cho SGSN và GGSN sử dụng CPU để xử lý dữ liệu không hợp lệ. Điều này ngăn ngừa các thuê bao có thể thực hiện chuyển vùng, gửi dữ liệu tới các mạng bên ngoài qua Gi hoặc ngăn ngừa các thuê bao không đƣợc gán với mạng.
- Bản tin GTP PDP context delete bị lừa đảo: Một kẻ tấn công với thông tin phù hợp, có thể lừa đảo một bản tin GTP PDP context delete, do đó sẽ di chuyển đƣờng hầm GPRS giữa SGSN và GGSN đối với một thuê bao. Kẻ tấn công không chú ý về ai là ngƣời bị từ chối dịch vụ, chúng có thể gửi rất nhiều bản tin GTP PDP context delete đối với mỗi ID đƣờng hầm có thể đƣợc sử dụng.
- Thông tin định tuyến BGP tồi: Kẻ tấn công điều khiển các bộ định tuyến của các nhà khai thác GRX hoặc chèn thông tin định tuyến vào các bảng định tuyến của các nhà khai thác GRX có thể gây cho nhà khai thác bị mất các tuyến đối với các bên tham gia roaming do đó từ chối truy nhập roaming.
-DSN cache poisoning: Kẻ tấn công có thể giả mạo các yêu cầu DNS hoặc các đáp ứng, làm cho APN của ngƣời sử dụng xác định chuyển tới GGSN sai hoặc thậm chí khơng chuyển tới đâu cả. Nếu kéo dài, điều này có thể ngăn ngừa các thuê bao trong việc chuyển dữ liệu.
* Nhận thực và có đặc quyền: Kẻ lừa đảo có thể giả mạo nhƣ là một thuê bao hợp lệ. Các tấn công vào sự nhận thực và có đặc quyền trên giao diện Gp gồm:
- Bản tin Create PDP context request bị lừa đảo: GTP không cung cấp nhận thực đối với các SGSN và GGSN. Điều này có nghĩa là với thông tin thuê bao phù hợp, kẻ tấn công với truy nhập GRX hoặc kẻ tấn công ở bên trong có thể tạo ra SGSN giả mạo và tạo ra đƣờng hầm tới GGSN của một thuê bao. Sau đó kẻ tấn công có thể làm thuê bao hợp lệ. Điều này dẫn đến kết quả là nhà khai thác cung
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
cấp truy nhập internet không hợp lệ hoặc truy nhập bất hợp pháp tới mạng của khách hàng là doanh nghiệp.
- Bản tin Update PDP context request bị lừa đảo: Kẻ tấn cơng có thể sử dụng SGSN của chính mình hoặc một SGSN đƣợc thỏa hiệp để gửi bản tin Update PDP context request tới một SGSN đang điều khiển một phiên GTP hiện tại. Kẻ tấn công có thể chèn SGSN của mình vào phiên GTP và tấn cơng vào kết nối dữ liệu thuê bao.
- Các tấn công Overbilling: Tấn công kiểu này đƣợc khởi đầu từ một máy di động có hại tấn công địa chỉ IP của máy di động khác và thực hiện tải dữ liệu từ một server chủ ý trên internet. Máy di động bị tấn công thu dữ liệu tải về, nhận đƣợc hóa đơn cƣớc đối với lƣu lƣợng mà nó không chủ ý nhận đƣợc. Máy di động có hại có thể thực hiện tấn cơng này với mục đích phát quảng bá dữ liệu không do yêu cầu theo hƣớng của máy thuê bao. Hậu quả tƣơng tự là thuê bao bị tính cƣớc đối với dữ liệu mà mình khơng cố đạt cho đƣợc và khơng mong muốn. Tấn công overbilling không bị hạn chế tới giao diện Gp, nó xẩy ra ở giao diện Gi và Gn.
* Tính bí mật và tồn vẹn:
- Kẻ tấn cơng có thể ở vị trí truy nhập tới lƣu lƣợng GTP hoặc DNS, chúng có thể làm thay đổi luồng thông tin ở giữa. Không có cơ chế bảo mật đƣợc cung cấp ở GTP để bảo vệ truyền thông giữa các mạng di động 3G khác nhau.
- Bắt giữ phiên dữ liệu của thuê bao: Bởi vì GTP và các T-PDU không đƣợc mật mã hóa, kẻ tấn công truy nhập tới đƣờng truyền giữa GGSN và SGSN có thể bắt giữ phiên dữ liệu của thuê bao. Do không đƣợc mật mã hóa, dữ liệu này có thể đƣợc đọc và thay đổi bởi các thực thể không hợp lệ. Điều này thƣờng xẩy ra đối ở các mạng công cộng, do đó các thuê bao cần đƣợc bảo vệ bằng Ipsec hoặc giải pháp tƣơng tự.
b, Các tấn công trên giao diện Gi:
Giao diện Gi là giao diện mà dữ liệu đƣợc khởi đầu bởi MS đƣợc gửi ra ngoài, truy nhập tới internet hoặc mạng doanh nghiệp. Đây là giao diện đƣợc phơi bày tới các mạng dữ liệu công cộng và các mạng của khách hàng doanh nghiệp.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
* Tính khả dụng: Giống nhƣ giao diện Gp, tấn cơng từ chối dịch vụ DoS là nguy cơ bảo mật lớn nhất trên giao diện Gi. Các tấn cơng điển hình gồm:
- Làm bão hịa băng thơng Gi: Kẻ tấn công có thể làm ngập liên kết từ mạng dữ liệu công cộng (PDN) tới nhà khai thác di động bằng lƣu lƣợng mạng do đó cấm lƣu lƣợng hợp lệ đi qua.
- Làm ngập lụt MS: Nếu ngập lụt lƣu lƣợng là mục tiêu hƣớng tới địa chỉ IP của một máy di động MS cụ thể, thì MS đó sẽ hầu nhƣ khơng thể sử dụng mạng 3G. Điều này đúng bởi vì sự khác nhau đáng kể về băng thơng khả dụng trên giao diện không gian và giao diện Gi.
* Tính bí mật: Bởi vì khơng có cơ chế bảo mật dữ liệu từ MS tới mạng dữ liệu công cộng hoặc mạng doanh nghiệp, do đó các bên thứ ba có thể xem dữ liệu nếu Ipsec hoặc bảo mật lớp ứng dụng khơng đƣợc sử dụng.
* Tính tồn vẹn: Dữ liệu đƣợc gửi qua các mạng dữ liệu công cộng có thể bị thay đổi bởi bên thứ ba trừ khi bảo mật lớp cao hơn đƣợc sử dụng.
* Nhận thực và có đặc quyền: Trừ khi các đƣờng hầm lớp 2 hoặc lớp 3 đƣợc sử dụng ở GGSN để kết nối tới mạng doanh nghiệp, MS có thể truy nhập tới mạng doanh nghiệp của khách hàng khác. Địa chỉ nguồn của lƣu lƣợng mạng không thể đƣợc tin cậy đối với các mục đích nhận thực và có đặc quyền bởi vì MS hoặc các host sau MS có thể tạo ra các gói với địa chỉ bất kỳ bất chấp địa chỉ Ipđã đƣợc gán cho MS. (adsbygoogle = window.adsbygoogle || []).push({});
c, Các tấn công trên giao diện Gn: Là giao diện bên trong mạng của nhà cung cấp dịch vụ di động. Các nguy cơ bảo mật có thể khởi nguồn từ bên trong mạng hoặc có thể xuất hiện từ bên ngồi. Các tấn cơng ở giao diện Gn trong mạng có thể dẫn đến làm sập mạng tùy theo mức độ của tấn công. Tác động này có thể dẫn đến downtime mạng, mất dịch vụ, mất lợi nhuận, và làm cho khách hàng thấy bực tức.
- SGSN hoặc GGSN bị lừa đảo: Nhiều trƣờng hợp trong đó những ngƣời sử dụng có hại có thể ngụy trang nhƣ là một phần của mạng bằng cách lừa địa chỉ IP của một GGSN hoặc SGSN. Chỉ khi kẻ tấn công đã đƣợc thiết lập nhƣ một phần tử mạng hoặc ngƣời sử dụng hợp lệ, chúng có thể thực hiện các tác vụ gây bất lợi cho khách hàng hoặc các phần mạng vô tuyến nhƣ xóa các phiên. Bằng cách thực hiện
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
các lệnh mà GGSN thƣờng thực hiện, các tấn công nhƣ vậy không thể bị phát hiện cho tới khi tác hại đƣợc thực hiện, trừ khi mạng đƣợc bảo vệ một bức tƣờng lửa trạng thái.
- Bản tin GTP PDP Context Delete bị lừa đảo: Một kẻ tấn công với thông tin phù hợp, có thể lừa đảo một bản tin GTP PDP Context Delete do đó sẽ di chuyển đƣờng hầm GPRS giữa SGSN và GGSN đối với một thuê bao.
- Các tấn công từ một khách hàng di động đến một khách hàng di động khác: Các khách hàng di động có thể là khách hàng hợp lệ hoặc không hợp lệ có thể tấn công lẫn nhau. Một trong những tấn công nhƣ vậy là tấn công Overbilling. Trong trƣờng hợp này ngƣời sử dụng có hại, chỉ khi đã nhận đƣợc quyền truy nhập mạng một cách hợp lệ, có thể gửi một lƣợng khổng lồ dữ liệu tới những ngƣời sử dụng không nghi ngờ.